ProHoster > Blog > internetnieuws > systemd systeembeheerder release 257

systemd systeembeheerder release 257

Na zes maanden ontwikkeling werd de release van de systeembeheerder systemd 257 gepresenteerd. Belangrijkste veranderingen: nieuwe hulpprogramma's systemd-sbsign en systemd-keyutil, ondersteuning voor MPTCP wanneer geactiveerd via een socket, initiële ondersteuning voor het bouwen met de Musl C-bibliotheek, de Musl C-bibliotheek. updatectl-hulpprogramma voor het beheren van de installatie van updates via systemd-sysupdate, de mogelijkheid om services in afzonderlijke PID-naamruimten te starten, bescherming tegen het per ongeluk verwijderen van bestanden bij gebruik van “systemd-tmpfiles —purge”.

Onder de veranderingen in de nieuwe release:

  • Добавлена новая утилита systemd-sbsign для заверения цифровой подписью исполняемых файлов в формате PE (Portable Executable), предназначенных для использования при загрузке в режиме EFI Secure Boot. Для формирования подписи могут использоваться движки и провайдеры, предоставляемые библиотекой OpenSSL. Systemd-sbsign может применяться в качестве альтернативы приложениям sbsigntool и pesign в утилите ukify при формировании универсальных образов ядра UKI (Unified Kernel Image), объединяющих в одном файле загрузчик для UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd.
  • Er is een nieuw hulpprogramma, systemd-keyutil, toegevoegd dat verschillende bewerkingen op privésleutels en X.509-certificaten implementeert. Systemd-keyutil kan bijvoorbeeld worden gebruikt om de mogelijkheid te testen om privésleutels en certificaten te laden en er openbare sleutels uit te extraheren in PEM-formaat.
  • In de ".socket"-eenheden die worden gebruikt om de werking van het socketactiveringsmechanisme te garanderen (het starten van processen bij het tot stand brengen van een netwerkverbinding), is ondersteuning geïmplementeerd voor MPTCP (Multipath TCP), een uitbreiding van het TCP-protocol voor het organiseren van de werking van een TCP-verbinding met de gelijktijdige aflevering van pakketten via meerdere routes door verschillende netwerkinterfaces die aan verschillende apparaten zijn gekoppeld. IP-adressen.
  • Bevat wijzigingen die nodig zijn om te bouwen met behulp van de standaard Musl C-bibliotheek.
  • В различные компоненты systemd, выводящие индикаторы прогресса выполнения операций (например, systemd-repart, systemd-sysupdate/updatectl и importctl), добавлена возможность использования ANSI-последовательностей для анимирования отображения прогресса. Подобные последовательности пока поддерживаются только в Windows Terminal (предполагается, что со временем подобная возможность будет перенесена и в эмуляторы терминалов для Linux).
  • De mogelijkheden van de systemd-sysupdate-component zijn uitgebreid en worden gebruikt om updates automatisch te detecteren, downloaden en installeren met behulp van een atomair mechanisme voor het vervangen van partities, bestanden of mappen (er worden twee onafhankelijke partities/bestanden/mappen gebruikt, waarvan er één de huidige werkende versie bevat). resource, en de ander installeert de volgende) update, waarna de secties/bestanden/mappen worden verwisseld). In de praktijk wordt systemd-sysupdate al gebruikt in GNOME OS.

    Naast het systemd-sysupdate-proces is er een service met dezelfde naam toegevoegd waarmee D-Bus kan worden gebruikt om systeemupdates door een onbevoegde gebruiker te beheren. Om de service te beheren is ook een nieuw updatectl-hulpprogramma inbegrepen. De vlag “--offline” is toegevoegd aan systemd-sysupdate om het downloaden van metagegevens via het netwerk uit te schakelen en alleen versies te gebruiken die al naar het lokale systeem zijn gedownload. Ondersteuning toegevoegd voor uitvoer in JSON-formaat voor alle opdrachten.

  • Voor services is een nieuwe eigenschap “PrivatePIDs” geïmplementeerd, waarmee u de lancering van processen met PID 1 (init process) in een aparte procesidentificatieruimte (PID-naamruimte) kunt organiseren. In de omgeving die voor het gelanceerde proces is gemaakt, zijn alleen processen uit de naamruimte die ervoor is gemaakt zichtbaar.
  • Ondersteuning toegevoegd voor hoofdletterongevoelige overeenkomsten met udev-regels (bijvoorbeeld 'ATTR{foo}==i»abcd»'). Met udev is het mogelijk om niet-bevoorrechte lokale gebruikers toegang (“uaccess”) te geven tot het /dev/udmabuf-apparaat, wat nodig is voor het werken met IPMI-camera’s via libcamera. udev biedt herkenning van verschillende hardware-crypto-wallets met een USB-interface en het instellen van de ID_HARDWARE_WALLET-eigenschap ervoor, waarmee u de “uaccess”-modus erop kunt toepassen voor toegang door niet-bevoorrechte gebruikers.
  • Nieuwe velden RELEASE_TYPE, EXPERIMENT en EXPERIMENT_URL zijn toegevoegd aan het bestand /etc/os-release. "RELEASE_TYPE" kan de waarden "experimenteel", "ontwikkeling", "stable" en "lts" aannemen om stabiele versies te scheiden van ontwikkelings- en experimentele builds. De parameters EXPERIMENT en EXPERIMENT_URL zijn bedoeld om de essentie van de experimentele build uit te leggen.
  • Het run0-hulpprogramma, ontwikkeld als vervanging voor het sudo-programma, heeft de optie “--shell-prompt-prefix” toegevoegd, die de prefix-string voor de opdrachtshell-prompt specificeert. Standaard wordt de emoji “🦸” weergegeven als voorvoegsel om een ​​verhoogde sessie visueel te markeren.
  • Om te voorkomen dat in systemd-tmpfiles per ongeluk de verkeerde bestanden worden verwijderd, is de optie "--purge" nu alleen van toepassing op instellingen in tmpfiles.d/ waarvoor de vlag "$" expliciet is ingesteld. Voor de bewerking "--purge" is nu ook het opgeven van ten minste één bestand uit de map tmpfiles.d/ vereist. Voor strings met het type 'L' is de vlag '?' toegevoegd. Indien opgegeven, wordt er alleen een symbolische link gemaakt als het doelbestand bestaat.
  • In Service Manager en gerelateerde hulpprogramma's wordt de procestrackingcode nog steeds geconverteerd om PIDFD te gebruiken in plaats van PID. Een PIDFD is gekoppeld aan een specifiek proces en verandert niet, terwijl een PID kan worden gekoppeld aan een ander proces nadat het huidige proces dat aan die PID is gekoppeld, is beëindigd.
  • Voor services is het nu mogelijk om de waarde “debug” op te geven in de parameter “RestartMode”, waarbij de mislukte service opnieuw wordt gestart terwijl de debug-modus is ingeschakeld (de omgevingsvariabele DEBUG_INVOCATION=1 is ingesteld), en de LogLevelMax-waarde wordt tijdelijk verhoogd naar het debug-niveau.
  • De PID 1-handler heeft de mogelijkheid om regels te laden voor de IPE (Integrity Policy Enforcement) LSM-module, die het integriteitsbeleid voor het hele systeem definiëren (welke bewerkingen zijn toegestaan ​​en hoe de authenticiteit van componenten moet worden geverifieerd).
  • De optie “DeferReactivation” is toegevoegd aan de “.timer”-eenheidsbestanden, waarmee u de volgende timeractivering kunt overslaan als de uitvoering van de service sinds de laatste activering nog niet is voltooid.
  • In de eenheidsbestandsparameter PrivateUsers is het nu mogelijk om de waarde “identity” op te geven om het toewijzen van gebruikers-ID's mogelijk te maken bij het maken van een gebruikersnaamruimte.
  • Ondersteuning toegevoegd voor de waarde “disconnected” aan de PrivateTmp-eenheidsbestandsparameter, die afzonderlijke tmpfs-instanties zal gebruiken voor de mappen /tmp/ en /var/tmp/.
  • Ondersteuning voor nieuwe “privé” en “strikte” modi is toegevoegd aan de unitbestandsparameter ProtectControlGroups. Indien ingesteld, wordt een nieuwe cgroup-naamruimte voor de service gemaakt en wordt cgroupfs aangekoppeld. Wanneer de "strikte" optie is ingesteld, wordt cgroupfs in alleen-lezen modus aangekoppeld.
  • De parameters StateDirectory, RuntimeDirectory, CacheDirectory, LogsDirectory en ConfigurationDirectory bieden de mogelijkheid om de vlag ':ro' te gebruiken om de toegang tot de overeenkomstige mappen te beperken tot de modus Alleen-lezen.
  • Ondersteuning toegevoegd voor de “firmware”-waarde aan de kernelopdrachtregelparameter “systemd.machine_id”, waarin de systeem-ID (computer-ID) wordt berekend op basis van de UUID van SMBIOS/DeviceTree.
  • Добавлена поддержка системных вызовов mseal(), listmount() и statmount(), появившихся в недавних выпусках ядра Linux.
  • De hulpprogramma's solvectl, timedatectl en systemd-inhibit ondersteunen nu interactieve autorisatie met behulp van Polkit.
  • De mogelijkheid toegevoegd om de vlag “--now” te gebruiken in de opdracht “reenable” aan het hulpprogramma systemctl.
  • Optie "--json" toegevoegd aan het hulpprogramma systemd-mount voor uitvoer in JSON-indeling (als dit bijvoorbeeld wordt opgegeven samen met "--list-devices", wordt een lijst met apparaten uitgevoerd in JSON-indeling).
  • Opties "-l" en "--full" toegevoegd aan het hulpprogramma "localectl" om het bijsnijden van lange regels tijdens uitvoer uit te schakelen.
  • De optie HibernateOnACPower is toegevoegd aan sleep.conf, waarmee u het overschakelen naar de slaapmodus kunt uitstellen totdat het apparaat is losgekoppeld van de stationaire stroombron.
  • In systemd-sysusers is ondersteuning voor de “!”-modifier toegevoegd aan de “u”-regels, waarmee je volledig vergrendelde gebruikersaccounts kunt maken (voorheen werd het instellen van een verkeerd wachtwoord gebruikt om een ​​gebruiker te blokkeren, wat bijvoorbeeld leidde niet tot blokkering tijdens sleutelauthenticatie in SSH).
  • Systemd-coredump voegt een "EnterNamespace" -optie toe die toegang geeft tot de mountpuntruimte van gecrashte processen om hun foutopsporingssymbolen te verkrijgen. In de praktijk kan de optie handig zijn voor het organiseren van backtrace van kernbestanden van applicaties die in geïsoleerde containers draaien.
  • systemd-logind omvat de verwerking van de combinatie Ctrl-Alt-Shift-Esc om het signaal org.freedesktop.login1.SecureAttentionKey naar de componenten van de gebruikersomgeving te sturen met een verzoek om een ​​beveiligd aanmeldingsvenster weer te geven. De instelling “DesignatedMaintenanceTime” geïmplementeerd om automatisch te plannen dat het werk op een bepaald tijdstip wordt voltooid. Naar analogie met ondersteuning voor DRM- en evdev-apparaten is ondersteuning toegevoegd voor het configureren van de toegang voor niet-geprivilegieerde gebruikers tot hidraw-apparaten (gamecontrollers en joysticks).
  • systemd-machined ondersteunt nu aanmeldingen van clients zonder beheerdersrechten. virtuele machines en containers. Toegang tot de functionaliteit van systemd-machined wordt geboden via de Varlink API, naast D-Bus.
  • Er is een nieuwe sectie “[IPv6AddressLabel]” toegevoegd aan het configuratiebestand networkd.conf om labels en voorvoegsels voor IPv6-adressen te configureren
  • Optie "--stdin" toegevoegd aan de opdracht 'networkctl edit' om de bestandsinhoud uit de standaardstream te halen. Ondersteuning toegevoegd voor het bewerken en weergeven van .netdev-bestanden door een netwerkinterface op te geven voor de opdrachten 'networkctl edit' en 'networkctl cat'. Optie "--no-ask-password" toegevoegd om interactieve autorisatie uit te schakelen.
  • Een "--certificate-source" optie toegevoegd aan de ukify, bootctl, systemd-keyutil, systemd-measure, systemd-repart en systemd-sbsign hulpprogramma's om een ​​X.509-certificaat te laden via de OpenSSL-provider in plaats van rechtstreeks te laden vanaf een bestand.
  • systemd-boot voegt de mogelijkheid toe om de volumeknoppen te gebruiken om omhoog en omlaag door het opstartmenu te gaan, wat handig kan zijn op apparaten zoals smartphones. Ondersteuning voor het installeren van de UEFI Secure Boot-database in ESL(db/dbx/…)-indeling voor systemd-boot is toegevoegd aan het bootctl-hulpprogramma.
  • Optie "--list-invocation" toegevoegd aan journalctl om een ​​lijst met unit-oproepen weer te geven en de optie "--invocation" ("-I") om logboeken weer te geven die alleen bij een specifieke oproep horen.
  • systemd-nspawn voegt ondersteuning toe voor onbevoegd gebruik van FUSE (Filesystem in Userspace) in containers. Wanneer u de optie “--bind-user” gebruikt, worden de SSH-sleutels van de gebruiker die nodig zijn voor toegang via SSH doorgestuurd naar de container.
  • libsystemd heeft een nieuwe programmeerinterface "sd-json" toegevoegd die het JSON-formaat gebruikt, evenals een interface "sd-varlink" die IPC Varlink gebruikt.
  • De aanbevolen basiskernelversie is geüpgraded naar release 5.4, uitgebracht in 2019. Volgend jaar zijn ze van plan te stoppen met het ondersteunen van oudere kernels en de 5.4-release te markeren als de minimaal ondersteunde basisversie.
  • Ondersteuning voor cgroups v1 is verouderd en standaard uitgeschakeld (om dit in te schakelen moet u SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE=1 opgeven op de kernelopdrachtregel, naast het inschakelen ervan in de systemd-instellingen). De volgende release van systemd 258 is van plan om de cgroups v1-gerelateerde code volledig te verwijderen. Systemd versie 258 zal ook de ondersteuning voor System V-servicescripts verwijderen.

Bron: opennet.ru

Koop betrouwbare hosting voor sites met DDoS-bescherming, VPS VDS-servers 🔥 Koop betrouwbare websitehosting met DDoS-bescherming, VPS- en VDS-servers | ProHoster